privacy-and-online-law
Satınalma sırasında Data Privacy Law ile Uyum Nasıl Sağlanır
Table of Contents
Evolving Düzenlemesi ve Anlaşma Yapıları üzerindeki Etkisi
Veri gizliliği yasaları eşit değildir; yargı ve çoğunlukla örtüşür. Avrupa Ekonomik Alanında hangi yasaları uygularsa, örneğin Kanada'nın Gizlilik Yasası (CCPA)) tarafından yapılan değişikliklerle ilgili olarak, www.C.C.C.C.C.C.C.C.C.C.C.C.D.'de (CCPA)[D)[D)[D)[FONT.C.D)[M.C.C.C.C.C.C.C.C.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.D.C.C.C
Bu düzenleyici yamalar doğrudan anlaşma yapısını etkiler. Acquirers, hedefin veri uygulamaları, satın alma çerçevesi ile uyumlu olup olmadığını veya belirli veri varlıklarının satın alınması gibi bir varlık satın alma çerçevesi olarak yapılandırmalıdır. Önemli eşitsizlikler - kolayca transfer etmediğine güven -belir Ofisi (ICO)[Döneticileri, satın alma fiyatının yaratılması veya sigortaları/veya değiştirilebilir:2 Fransız CNIL[değiştir | kaynağı değiştir]
Anahtar Prensipleri Binbaşı Yasalar
kapsamı ve uygulanmasındaki farklılıklara rağmen, çoğu veri gizliliği rejimleri, alıcıların adrese ihtiyacı olan temel ilkeleri paylaşır:
- [FONT:0]Lawness, adillik ve şeffaflık) - Kişisel veriler geçerli bir yasal temel üzerinde işlenmelidir ve bireyler, verilerin nasıl kullanıldığı hakkında bilgi sahibi olmalıdır. Post-acquisition, yeni kontroller mevcut yasal üslerin geçerli olup olmadığını yeniden değerlendirmelidir.
- [[FONT:0)Purpose sınırlaması) - Veriler sadece belirli, açık ve yasal amaçlar için toplanmalıdır. Bir satın aldıktan sonra verileri geri yüklemek - örneğin, müşteri verilerini tamamen yeni bir ürün hattında kullanarak - orijinal işlem amacı altında dikkatli bir değerlendirme yapılmalıdır.
- [FONT:0]Data minimization[Dönemli amaç için gerekli olan minimum veriler toplanabilir ve muhafaza edilebilir.Entegra genellikle talep edilen veya anonim olması gereken aşırı veri havuzlarını oluşturur.
- [FONT:0)Accuracy ve depolama sınırlaması) - Veriler doğru tutulacak ve gerekli olandan daha uzun süre muhafaza edilmelidir. Satın alma, veri setlerini denetlemek ve temizlemek için ideal bir an.
- [FONT:0)Integrity ve gizlilik[[Dönetici: 1 ) – Güvenlik önlemleri, veriyi yetkisiz erişime, kazara veya yıkıma karşı korumalıdır.Sistemler arasındaki Göç yüksek riskli bir dönemdir.
- [FONT:0)Accountability - Veri kontrol cihazı, dokümantasyon, eğitim ve gözetim yoluyla uyum göstermeli.Birleşmiş bir varlık birleşik bir hesap çerçevesine ihtiyaç duyar.
Hedef şirketin mevcut politikaları ve uygulamaları için bu ilkeleri haritalandırmak, kapsamlı bir uyumluluk denetiminin temelini oluşturur.TheETHFLT:0) Avrupa Data Protection Board (EDPB))[Döneticileri ve M&A, bu nedenle, yüksek riskli işlem faaliyetleri için potansiyele hitap etmemelidir.
Pre-Acquisition Due Diligence: A Deep Dive
Dikkatlilik uyum temelleridir. Gizlilik politikalarının yüzeysel bir incelemesi yetersizdir; Alıcılar hedef şirketin veri işleme faaliyetlerinin yasal gereklilikleri ile uyumlu olduğunu ve veri ekosisteminde saklı yükümlülüklerin bulunmadığını doğrulamalıdır.
Data Governance and Documentation
Hedef şirketin [[Düzüğün İşleme Faaliyetlerinin (ROPA)) gereksinimlerini talep ederek başlayın ve herhangi bir veri koruma değerlendirmelerini (DPIA) gerçekleştirebilecek herhangi bir belge, özel kategori verilerinin işlenmesine veya işlenmesine ilişkin özel dikkati ortaya koyar.
Consent and Data Subject Rights
Hedef şirketin onay ve belge aldığını, özellikle pazarlama, profilleme veya üçüncü taraflarla paylaşmanın, rızanın özgürce verilmesi, özel, bilgilendirilmesi ve herhangi bir onayın yaşını belirtin - eski onaylar artık "büyük" veya "özgürlük" talepleri ile karşılaştırılabilir.Eğer satın alma işlemine izin verilmeyen bir şekilde geri bildirimde bulunulmalıdır.
Güvenlik Postası ve Breach History
Veri ihlalleri yeniden kullanıma hazır hale gelmek ve bir satın alma işlemine izin vermek için maliyetlidir. Hedefin güvenlik politikalarını gözden geçirmek, olay yanıt planı ve son üç ila beş yıl içinde herhangi bir ihlal bildirimini açtı. Hedefin hassas verileri korumak için bağımsız bir güvenlik değerlendirmesini yapmak için kaynak değerlendirmelerini ve kırılganlığı değerlendirmelerini yapmak.Sessiz verilerin olgunluğunu değerlendirmek, erişim kontrollerini ve veri yaşam döngüsü yönetimini kullanın.
Üçüncü bölüm ve Satış Riskleri
Çoğu şirket bulut depolama, analitik, ödeme kaydı veya müşteri ilişkisi yönetimi için üçüncü taraf satıcılara güveniyor.Her satıcı yasal olarak ses çıkarmalı potansiyel veri akışını temsil ediyor.Tüm veri işlemcileri ve alt işlemetörlerin bir listesini mevcut olan [[0)Data Processing Anlaşmaları (DPAs))[Döneticileri kontrol altına almak için gerekli olan bir kısıtlama içeriyor.
Önceki İcra Eylemleri ve Davaları
Herhangi bir uygulama eylemleri için kamu kayıtları ve düzenleyici veritabanı, ABD'de veri ihlalleriyle ilgili ayrıntılı veya onay kararları ve bunların sonunda reddedilmeden önce ödenmesi durumunda maliyet önemli olabilir.
Sözleşmesel Güvenli Muhafızları Negotiating Contractual Safeguards
Dikkatlilik riskleri ortaya çıkarır; sözleşme korumaları onları tahsis eder. Satın alma sözleşmesi, veri gizliliği ile ilgili özel temsilleri ve garantileri içermelidir, ayrıca imza ve kapanış arasındaki karşılıklılık süresi boyunca uygun tutma hedefi gerektiren sözleşmeler de içermelidir:
- [FONT:0]Privacy Representations and Warranties – Hedefin tüm geçerli gizlilik yasalarıyla uyumlu olduğunu ifade eden, gerekli tüm onayları elde etmedi ve doğru ROPA'yı korumayı gerektirir.
- [FONT=0]Indemnification Clauses[[Dönetici: 1 ) – GDPR paralarının küresel yıllık cironun% 4'üne ulaşabilecek durumda olduğu konusunda güvencesiz gizlilik ihlallerine sahip olan hükümler, cezalar, cezalar, geri ödeme maliyetleri ve üçüncü taraf iddialar.
- [FONT:0]Post-Closing Conventions[[Dönetici: 1 ) - Veri entegrasyonunda işbirliği yapmak için hedefler için Gereksinimler, mahremiyet bildirimlerini güncellemek ve artık gerekli olmayan anonim verileri silmek veya anonimleştirmek için bir anlaşma içerir.
- [FONT:0]Escrow veya Holdback Arrangements[Dönetici:0)[Döneticileri: Satın alma fiyatının bir kısmı kapandıktan sonra keşfedilen potansiyel mahremiyetle ilgili kayıpları karşılamak için geri yapılabilir.
- [FONT:0)Data Transfer Mechanisms[[Döneticileri 1 ) – Sınır ötesi transferler dahil edilirse, sözleşmeli olarak geçerli transfer mekanizmaları (Standart Anlaşmalı Clauses veya Binding Kurumsal Kuralları) ve Transfer Değerlendirmeleri ile işbirliği yapmak için hedef gerekir.
Ek olarak, eğer satın alınan veri sistemleri ile birleştirip bir araya getirmeyi planlıyorsa, sözleşme aİLFLT:0)da koruma etkisi değerlendirmesi (DPIA)), DPIA'nın birçok M&'ye sonuç vermesi gereken yeni işlem faaliyetleri için zorunludur. Özellikle hassas veriler veya büyük ölçekli profiller karışır.
Entegrasyon Planlaması ve Güvenli Veri Göçü
Anlaşma yakın bir zaman, gerçek çalışma başlar. Uyumu devam ederken iki ayrı veri ortamının tümünün dikkatli orkestrasyon gerektirir. Ortak tuzaklar, yasal üsler olmadan para toplama veritabanı içerir, mahremiyet bildirimlerini güncellemez ve göç sırasında yetkisiz partilere karşı verileri açığa çıkarır.
Data Mapping ve Minimization
Herhangi bir teknik entegrasyondan önce, her veri kümesini her iki varlıktan tanımlayan ayrıntılı bir veri haritalama egzersizi gerçekleştirin, hassaslık seviyesi, tutma programı ve işlemenin yasal temeli.Bu haritayı bir nedenden ötürü kullanın:0.tatata minimizasyon planı) - yeni elde etmeden veya yasal olarak muhafaza edilebilir olan tüm kararları bulmak için otomatik olarak yeniden kullanılabilir.
Teknik Güvenlik Kontrolleri
Veri ihlalleri genellikle entegrasyon sırasında meydana gelir, çünkü güvenlik kontrolleri geçici olarak zayıflanır. Hedef, iki ortam arasındaki tüm veri iletiminin şifreli (öyüşme ve geçişte) işlem gören, sistemlerin tüm veri erişimlerini üstlenene kadar uygulamaktadır.Sistemlerin izinsiz bir şekilde satış yapmadan önce, bir araya gelmenin bir araya getirilmesi için veri kaybının (DLP) kullanılmasını sağlayın.
Cross-Border Transfer Riskleri
Eğer alıcı farklı bir ülkede veya bölgede çalışırsa, veri transfer kısıtlamaları kritik hale gelir. Örneğin, ABD merkezli bir hedef, onay verilen bir transfer mekanizmasına güvenmelidir - Gizlilik Shield ve devam eden denetimler ile ilgili yasal düzenlemelere izin vermek için yasal düzenlemelere izin vermek için yasal düzenlemelere ve taahhütlere sahip olmak için yasal düzenlemelere izin verir.[değiştir | kaynağı değiştir]
Data Retention and Disposal in the Post-Acquisition period
Çoğu zaman entegrasyon yönü, tekrarlanan, eski veya red dışı verilerin birikimidir. Her iki satın alma ve hedef, yetkili yaşam süresini aşacak şekilde örtüşen veya daha fazla işlenmemiş olan ilişkileri içeren iletişim listeleridir (örneğin, NIST SP 800-88, medya sanitizasyon sistemi, yalnızca yetkili yaşam süresini gözden geçirmeye zorlayan bir görev oluşturmak için bir ortak görev oluşturmak ve bu verileri güvenli bir şekilde silmeye yardımcı olur.
Post-Acquisition Compliance Management
Uyum bir zaman olayı değildir; birleşik organizasyonun devam eden operasyonlarında yer almalıdır. proaktif bir yönetim çerçevesi, mahremiyetin iş önceliklerinin değişmesi olarak bile öncelikli olmasını sağlar.
Gizlilik Politikaları ve Duyuruları
Satın alındıktan hemen sonra, tüm gizlilik politikaları güncelleyin - web sitelerinde ve müşteri odaklı malzemelerde. Kontrollü (eğer uygulanabilir) değişimin verilerinin nasıl ele alınacağı konusunda net bir bilgi sağlar.Bu sadece şeffaflık yükümlülükleri altında yasal bir gereklilik değildir, ancak aynı zamanda bir güven-zeme inşa edilmesi gereken birçok düzenleyici de zamanında teslim edilir; anlaşılabilir bir şekilde bir şekilde bir bağlantı ile toplu e-posta; değişiklikler önemliyse, yeterli olmayabilir.
Eğitim ve Kültür
Elde edilen şirketten personel -ve mevcut çalışanlar - her iş biriminde bir araya gelen bir eğitim, günlük sorular ve olay yanıt protokolleri. Gizlilik farkındalığı, yıllık yeni çalışanların yanıt verme ve güçlendirilmesi için bir veri koruma görevlisi (DPO) veya gizlilik belirlemeyi düşünün.
Devamlı İzleme ve Denetimler
Düzenli iç denetimler – ilk yıl için merkezi olarak – gizlilik politikaları, sözleşme yükümlülükleri ve düzenleyici değişikliklerle uyum değerlendirmeleri. Verilere erişim kalıpları, izinsiz iletileri izlemek ve tüm işleme faaliyetlerinin merkezi bir kaydı olun, ve yeni süreçler ortaya çıktığında veya eski ülkeler emekli olunmasını bekleyin. Düzenlemeler, talep üzerine mevcut bir ROPA üretmek için kuruluşların talep edebileceği ve bir tanelerin izin vermelerine yönelik karar vermelerine olanak sağlayacak şekilde yeni düzenlemelere yol açabilir.
Sonuç Sonuç Sonuç Sonuç Sonuç Sonuç Sonuç Sonuç
Bir satın alma sırasında veri gizliliği, yasal, teknik ve operasyonel koordinasyonu talep eden çok katmanlı bir meydan okumadır.Süresel olarak yaklaşarak - güçlü bir sözleşme korumaları ile müzakere, bakım ile entegrasyon ve devam eden yönetim kurmak - örgütlemeler kendilerini önemli finansal ve itibarlı zararlardan koruyabilirler.Bu yanlış anlamanın faydalarından çok daha yüksek, ancak yasal bir şekilde yararlanın faydaları riskten kaçınır.